當@ Slauma的鏈接響應(包含here)被@ reach4thelasers寫入所選答案時,我正在讀這個SO question。這是一篇關於如何在大約半小時內打開ASP.NET的表單身份驗證並收集遠程計算機密鑰的博客文章。ASP.NET窗體身份驗證漏洞
對博客文章有一些迴應,提到這隻有在你沒有做某些特定的事情時纔有可能,但我不清楚這些具體的東西是什麼(有關自定義錯誤頁面的內容,但視頻似乎沒有打到任何錯誤頁面)。它還提到MS有建議來避免這類攻擊,但與建議無關。
因此,首先,有人能夠清楚地解釋開發ASP.NET表單身份驗證系統時需要什麼,以防止像上面提到的那樣的利用?其次,在ASP.NET表單身份驗證中是否還有其他衆所周知的漏洞,某些最佳實踐(默認情況下未實現)會緩解或防止哪些漏洞?我正在建設一個有財務數據的公共站點,所以這是我的嚴重關注。
這已經討論很久以前:http://technet.microsoft.com/en-us/security/bulletin/MS10-070
斯科特谷的時候http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx
寫呢?這太問題涵蓋了問題的某些影響Is it vulnerable to ASP Padding oracle
我要說的是,主要原因在於,框架中的補丁和升級比將生產應用程序保留在舊的框架,舊補丁程序級別中更危險,這是大型組織的變更控制板所反過來看到的。他們通常擔心補丁更新的可能性遠遠超過現有代碼中的漏洞。
太棒了。我被博客文章中的評論誤導了一點,似乎......他們似乎暗示開發者必須採取行動來防止這種情況發生。 –
幾年前,我發現在3.5版本發佈的時候安裝了ASP.NET 1.0--這隻能發生在對補丁的病態恐懼之中。該網站仍然有問題,但即使在那裏,他們也必須關閉Windows更新,這些更新提供了大部分這類補丁。當我的服務器管理員說他們想修補或更新框架時,我告訴他們「請!」即使這意味着某些工作會檢查功能是否仍然工作。 – MatthewMartin
我不能在這裏寫一本書,但我想更清楚地解釋建行在非常大的組織中的地位。我爲一個非常大的組織(27K +)工作,他們向前移動並應用補丁的速度很慢。然而,這主要是因爲有更多的演員參與,你可以指望兩手。一個大型組織中沒有什麼是「只要做到這一點,它就會發揮作用 - 如果沒有,我們會處理它。」我只是不這樣工作。因此,您首先升級較低的環境,徹底測試它們,然後安排更新的高峯時段。 –
我相信你在談論那個:http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos
而我的一個類似問題是http://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos
非常好。感謝您的鏈接。 –